it-swarm-tr.com

Her 90 günde bir şifrenizi değiştirmek güvenliği nasıl artırır?

Çalıştığım yerde 90 günde bir şifremi değiştirmek zorunda kalıyorum. Bu güvenlik önlemi hatırlayabildiğim kadarıyla birçok kuruluşta yürürlükte. Bunun karşı koymak için tasarlandığı belirli bir güvenlik açığı veya saldırısı var mı, yoksa yalnızca "her zaman yapıldığı gibi" prosedürü izliyor muyuz?

Parolamı değiştirmek, yalnızca birisinin zaten hesabımda varsa olması beni daha güvenli hale getirecek gibi görünüyor.

Bu soru Haftanın BT Güvenlik Sorus idi.
Daha fazla bilgi için 15 Tem 2011 blog girişi bölümünü okuyun veya kendinizinkini gönderin Haftanın Sorusu.

576
Bill the Lizard

Kullanıcılarınız insan olduğunda, güvenliği artırmak zorunda değildir.
Bkz. FTC posta " Zorunlu şifre değişikliklerini yeniden düşünme zamanı " Şef Technolog Lorrie Cranor tarafından, insanların bu sistemleri gerçekte nasıl kullandıklarına dair araştırmalara dayanmaktadır. (Washington Post kapsamı burada .)

Ayrıca, SANS güvenlik blog , "Davranışı değiştirmenin temel kurallarından biri, en büyük riski ele alan en az davranışa odaklanmaktır." Parola değişikliklerini gerektirme maliyetleri, kullanıcılara güçlü, benzersiz parolalar ve/veya parola yöneticileri/çok faktörlü kimlik doğrulaması kullanmayı öğretmek için daha iyi harcanır. Ek olarak, şifre değişikliklerinin faydaları, saldırıların, şifre değişikliklerinin kesilmesine yardımcı olabileceği uzun, yavaş ve manuel saldırılardan çok daha hızlı gerçekleşebileceğini ve çoğu zaman düştüğünü göstermiştir.

4
WBT

Şahsen, ofis kullanıcıları (veya bilgisayar kullanımı hakkında neredeyse hiç bilgisi olmayanlar, siber güvenlik değil) için parola kullanım süresinin uygulanmasının birçok kuruluşta olduğu gibi formda iyi bir fikir olduğunu düşünmüyorum. Yukarıda belirtildiği gibi, bu durumda en büyük güvenlik kusuru, aynı ofis kullanıcılarının sadece şifrelerini yapışkan notlara yazmaları ve ekranlarına yapıştırmaları veya masalarına yapıştırmalarıdır. Veya kişi biraz daha "gelişmiş" ise, letmeinMONTHYEAR gibi şifreler kullanmaya başlayabilir.

Bununla birlikte, uygun parola yönetimi ile birleştiğinde periyodik parola süresinin dolması iyi bir şeydir. Açıkçası (savant olmayan) insanların çoğu gerçekten güvenli şifreleri hatırlayamayacak - v^i77u*UNoMTYPGAm$. Peki ne yapacağız?

Şahsen, biri hariç ana şifreleri hariç tüm şifreleri takip eden bir şifre yöneticisi kullanıyorum. Bu gerçekten işleri basitleştirir ve onları daha güvenli hale getirir (ana şifremin kendisinin güvenli olması ve şifre yöneticisine giriş yapmak için kolayca tekrar sayabilirim.) Keşfetmenize ve test etmenize izin vereceğim birkaç ticari şifre yöneticisi var. kendinizi. Ben şahsen genel kullanım için ücretsiz ve güvenli Lastpass kullanın. Web tarayıcısı üzerinden kullanılabilir ve akıllı telefonunuza veya tabletinize bir uygulama olarak da yüklenebilir. Üçüncü taraf bir çözümün tüm şifrelerinizi yönetmesine izin verme konusundaki güvenlik kaygılarına gelince, Steve Gibson tarafından yapılan veterinerliğe güveniyorum. Tam sürümünü izleyebilirsiniz burada .

4
MikeF

Oldukça güçlü şifreler kullanılırsa kullanılmaz. Bir saldırgan veritabanından karma çıkarmayı başardıysa, parolaların çevrimdışı olarak kırılabilmesi durumunda parolaların düzenli olarak değiştirilmesi gerekebilir. Bununla birlikte, kullanıcıların güçlü parolaları seçmeleri için teşvik edilmesi gerektiğinde, örneğin uzun parolalara dayanarak parola değişikliklerinin uygulanması zayıf bir güvenlik şekli gibi görünmektedir.

Şifre güvenliği konusunda eğitim almadan çoğu kullanıcı güçlü şifreler seçmeyecektir, bu nedenle 90 günlük değişiklik sınırı bu hesapları korumak için tasarlanmıştır. Bu kullanıcılar hesaplarının güvenliğini anlamadıklarından veya umursamadıklarından, muhtemelen eski şifrelerine dayanarak başka bir zayıf şifre seçmeleri muhtemeldir (bu, bir saldırganın eskisini kırabileceği ve daha sonra çevrimiçi bir saldırıda bunun varyasyonlarını kullanabileceği anlamına gelir) . 90 günlük politikanın, yeni şifrenin eskisiyle benzerliğini kontrol etmeyi birlikte kullanması yardımcı olarak görülebilir. Diğer kullanıcıların şifrelerini kırmak daha zor olacaktır, ancak bir saldırgan tarafından yeterli zaman ayrılırsa bu tamamen mümkündür - 128 bitlik entropinin gücüne sahip herhangi bir şifre, eninde sonunda kırılma olasılığına sahip olduğu anlamına gelir. bir saldırgan belirli bir hesapla özel olarak ilgilenir, bunun gerçekleşme olasılığı çok düşüktür.

Parolaları değiştirmenin olası iyi bir nedeni, kullanıcıların parolaları güvenli olmayan yerlerde sık sık saklamasıdır. Örneğin, tarayıcı otomatik tamamlama işlevi bir arkadaşınızın bilgisayarındaki şifreyi hatırlamış olabilir. Ancak bu ne burada ne de orada.

Bu yüzden onları sık sık değiştirmek iyi bir uygulama olarak görülür. 90 gün en düşük ortak paydaya hitap etmektedir. Parola oluşturucu kullanılarak oluşturulan güçlü parolalar kullanan tüm kullanıcılar, kendi politikalarını değiştirmeleri için en az güçlük çeker, bu nedenle bu politika önemli sorunlara neden olmamalıdır. Bu politika ile birçok hesabı olan kullanıcıların rahatsız edileceğini anlayabiliyorum.

Parolanızı sık sık değiştirmenin bir başka nedeni, bcrypt ve diğer anahtar türetme işlevleri gibi parola depolama algoritmalarının, artırılması için yükseltilebilecek bir yineleme sayısına sahip olmasıdır. Moore Yasası olarak iş faktörü geçerlidir. Yeni bir parola girilmesi, parola karmasının daha fazla yineleme ile kurtarılması veya sistemin güvenlik duruşu arttıkça tüm karma algoritmanın güncellenmesi için fırsat verir. Örneğin, site orijinal olarak açık metin şifrelerini saklıyorsa, daha sonra SHA-1'e, daha sonra tuzla SHA-1'e, ardından nihayetinde şifrelenmişse, şifreyi değiştirme işlemi genellikle bu kullanıcı için saklanan formatı güncelleme fırsatı olarak kullanılır. veritabanı içinde.

Bir şifre değişikliğinin teknik olarak gerekli olmadığını unutmayın, sadece birçok sistem parolayı bu noktada yeniden depolayacaktır, ancak başarılı bir oturum açtıktan sonra bunu da yapabilirler çünkü açık metin parolası da bu noktada kullanılabilir olacaktır. Bir şifre değişikliğinin zorlanması bu durumlarda yardımcı olacaktır ve ayrıca sitede keşfedilmemiş bir şifre sızıntısı güvenlik açığı (örneğin SQL enjeksiyonu) varsa, parolanın daha güvenli bir şeye ve karma formatına dönüştürülmesi avantajına sahiptir. güncellenmiş. Parola değişikliğinin zorlanmasının etkin olmayan hesapların güncellenmesine yardımcı olmadığını unutmayın, bu nedenle bazı standartlar etkin olmayan hesapların belirli bir süre sonra devre dışı bırakıldığını (örn. 90 gün sonra PCI) - parola da DB'de bir biçimde saklanıyorsa kullanıcının başka bir yerde yeniden kullanması ve daha sonra sızdırılması durumunda bunun da boş bırakılması önerilir.

3
SilverlightFox

Bunun öncelikle güvenlikte marjinal net bir artışla uyumluluk odaklı bir gereklilik olduğunu kabul etme eğilimindeyim (maalesef, 90 gün sonra meşru kullanıcıların kilitlenmesi nedeniyle maalesef operasyonel kullanılabilirlik kaybında önemli bir maliyet parolalarının süresi dolduğundan ve kimse bunları güncellemediği için makine içi iletişim başarısız oluyor, parola sıfırlama sorunlarını çözmek için Yardım Masası'nı arar vb.).

Bununla birlikte, böyle bir politikanın uygulanmasının geçerli nedenleri vardır (ancak - bu gerekçeler belirli bir şifre için nispeten uzun geçerlilik süresi ile büyük ölçüde azaltılır ... sonuçta bir siber dolandırıcı şifrenizi 90 gün boyunca alırsa, yapabileceği çok fazla hasar var).

En büyük avantajı aşağıdaki senaryoda gelir:

  1. Saldırıya uğrar veya başka bir şekilde ele geçirilirsiniz ve siber dolandırıcı kullanıcı adınızı ve şifrenizi öğrenir.

  2. "Değişim eşiği" süresine yakındır (genellikle - çeyreğin sonu ve siber dolandırıcıların bunu bilmediğini düşünmeyin).

  3. "Eski" parolanızı değiştirmeniz gerekir (hem siz hem de siber dolandırıcı, bildiğiniz).

  4. Şirket politikasını takip edersiniz ve şifrenizi değiştirirsiniz, yani siber dolandırıcı tekrar kilitlenir. Bu kimlik bilgilerine yetkisiz erişim elde etmek için eskisi gibi aynı yöntemleri kullanmaya çalışabilir ... ancak bunu yapmak can sıkıcı ve zaman alıcı olabilir.

Buradaki nokta, "birisinin şifresini yeni bir şeye değiştirmek", bir siber suçlunun normalde yapacağı bir şey değildir, çünkü bakış açısından (elbette, Hijack şifresi gerçekten bir tür Reddi değilse- of-Service saldırı), parolayı değiştirmek ve meşru (orijinal) sahibini hesaptan kilitlemek, meşru kullanıcıyı derhal istenmeyen bir şeyin devam ettiği konusunda uyaracaktır.

Bu, siber suçluların genellikle bir seferde binlerce şifreyi ele geçirmesinin üstünde; bunların tümünü değiştirmek, özellikle meşru kullanıcıların bunu yapmasına izin verecek şekilde ayarlanmış arka uç sistemlere erişimleri olmayabilir, zahmetli bir iş olabilir.

Yukarıdakilerin hiçbiri, siber dolandırıcıların genellikle kendi, ayrıcalıklı hesaplarını, sisteminize yetkisiz erişim elde ettikleri anı veya "zorunlu 90 gün içindeki diğer potansiyel zayıflıkları görmezden gelmeleri" dikkate alınmaz. şifre değişikliği "paradigması bu günlerde çok yaygın. Bu kuralı katmanlı savunma stratejinizde bir (küçük) unsur olarak düşünün ve bunun bir yeri olduğunu göreceksiniz ... ama kesinlikle kötü adamları dışarıda tutmak için güvenmeniz gereken bir şey değil.

3
user53510